Što je Snatch Ransomware i kako to ukloniti
Čini se kao da programeri kriminalnog softvera nikad ne spavaju s porastom obrane. Uvijek su u potrazi za različitim načinima izlaganja oružja za napad. Jedna od najnovijih tehnika je pritisak za otkupninu koji može prisiliti Windows uređaj na ponovno pokrenite u sigurnom načinu rada neposredno prije nego što započne šifriranje, namjeravajući zaobići zaštitu krajnje točke.
Ova vrsta soja poznata je kao 'Snatch' zahvaljujući svojim autorima, koji sebe nazivaju 'Snatch Team'. Bilo je otkrili istraživači Sophos laboratorija, koji su iznijeli svoje otkriće zajedno s uvidom u to kako se takve bande probijaju na poduzeća i druge subjekte na njihovoj listi popisa.
Objašnjavat ćemo što je ransomware Snatch, kako radi i kako ga možete ukloniti sa svojih uređaja.
Također na Guiding Tech
Što je Ransomware i kako se zaštititi od njega
Čitaj višeŠto je Snatch Ransomware
Snatch je svježa inačica ransomwarea čija se izvršiva sila prisiljava na Windows uređaje da se ponovo pokrenu u sigurnom načinu rada, čak i prije nego što započne proces šifriranja u nastojanju da zaobiđe zaštitu krajnje točke koja se u ovom načinu rada često ne pokreće.
Otkrili istraživači SophosLabs-a i Sophos-ov tim za upravljanje prijetnjama, The ugrabiti otkupni softver je među više komponenti sazviježđa zlonamjernog softvera koristi se u neprekidnom nizu pažljivo orkestriranih napada koji sadrže obimno prikupljanje podataka.
novi soj ransomwarea koristi jedinstvenu metodu infekcije koja primjenjuje sofisticiranu AES enkripciju tako da korisnici čiji su strojevi zaraženi ne mogu pristupiti svojim datotekama.
Snatch ransomware prvi je put bio vidljivo aktivan u travnju 2019. godine, ali objavljen je krajem 2018. Međutim šiljati u šifrirane datoteke i bilješke o otkupnini dovelo do njegova otkrića i praćenja tima istraživača iz Sophosa.
Njegov kriptovirusni oblik napada visokoprofilne mete, ali ovaj novi soj, stvoren pomoću Google Go program sadrži kolekciju alata koji uključuju ukradnik podataka i značajku ransomwarea. Osim toga, ima Kobaltov štrajk obrnuti oklop i druge alate koje koriste ispitivači prodora i administratori sustava.
Bilješka: Varijanta koju je otkrio Sophos može se pokretati samo u 32-bitnom i 64-bitnom izdanju od verzije 7 do 10.Kako djeluje Snatch Ransomware
Kao virus zaključavanja datoteka, Snatch ransomware nema veze s drugim sojevima. Ipak, njegovi su programeri objavili devet varijanti prijetnje, koje dodaju različita proširenja nakon što se podaci šifriraju s AES šifrom.
Trik je ponovno pokrenuti strojeve u siguran način, a zatim ransomware ograničava pristup vašim podacima šifriranjem datoteka. Nakon toga, hakeri pokušavaju iznuditi novac od vas tražeći otkupninu u obliku Bitcoina u zamjenu za otključavanje datoteka i vraćanje pristupa podacima.
Postoji razlog zašto njihov trik djeluje. Neki antivirusni softver ne pokreće se u sigurnom načinu rada, a programeri su otkrili da mogu lako izmijeniti ključ registra sustava Windows i samo pokrenuti vaš uređaj u siguran način rada. Na taj način vaš softver za otkrivanje ne prepoznaje vaš sigurnosni softver.
Kad se prvi put instalira na vaš uređaj, dolazi putem SuperBackupMan, Windows servisa, i postavlja se prije nego što se vaše računalo pokrene ponovno pokretanje, tako da ga ne možete zaustaviti na vrijeme.
Jednom instalirani, napadači koriste administratorski pristup kako bi pokrenuli BCDEDIT, alat Windows naredbenog retka, kako bi prisilili vaše računalo da se odmah ponovno pokrene u sigurnom načinu rada.
Zatim stvara slučajno imenovano izvršno ime u mapi% AppData% ili% LocalAppData%, koje će se pokrenuti i započinje skeniranje slova pogona u vašem računalu i datoteke za šifriranje.
Također na Guiding Tech
#ransomware
Kliknite ovdje da vidite našu stranicu s ransomware člancimaDatoteke na koje cilja Snatch Ransomware
Postoje specifična proširenja datoteka koje šifrira, uključujući .doc, .docx, .pdf, .xls i mnoge druge, koje inficira i mijenja njihova proširenja u Snatch, tako da ih ne možete ponovno otvoriti.
Otkupni softver ostavlja poruku tekstualne datoteke Readme_Restore_Files.txt, zahtijevajući bilo koji između jednog i pet Bitcoin-a u zamjenu za ključ za dešifriranje, s informacijama o tome kako komunicirati s hakerima kako bi dobili vaše datoteke podataka.
Nakon što ransomware skenira vaše računalo u potpunosti, koristi vssadmin.exe, Windows naredbu za brisanje svih Shadow Volume Copija na njemu kako biste ih mogli oporaviti i koristiti za vraćanje šifriranih datoteka podataka. Posljednji korak je to kriptirajte sve datoteke podataka na tvrdom disku.
Trenutno, zaražene datoteke nije moguće dešifrirati zahvaljujući sofisticiranosti korištene AES enkripcije. Ipak, još uvijek imate spasilačku liniju ako je vaše računalo zaraženo vraćanjem datoteka iz najnovije sigurnosne kopije.
Snatch ransomware cilja ciljanje redovnih korisnika putem neželjene e-pošte. Ali danas su glavne mete korporacije. Plaćanjem takvih kriminalaca ne samo da gubite novac i nemate jamstva da će vam poslati ključ za dešifriranje, već ih ohrabruje da nastave sa svojim cyber kriminalom.
Ako nemate ažuriranu sigurnosnu kopiju, ne možete učiniti drugo nego čekati dok stručnjaci za sigurnost pronađu dekriptor za otkup softvera Snatch. To bi moglo potrajati dugo, ali postoje i drugi načini kako se možete zaštititi od takvih napada.
Kako s računala ukloniti Ransomware Snatch
Jedan od najboljih načina uklanjanja ransomwarea i drugog zlonamjernog softvera je instaliranje dobrog antivirusnog softvera za zaštitu poput Malwarebytes ili SpyHunter koji može skenirati, otkriti i ukloniti prijetnju. Ne mogu ga pronaći svi antivirusni motori jer je to potpuno novi zlonamjerni softver, pa je dobro skenirati pomoću nekoliko programa.
Možete zaštititi sebe i svoje uređaje od napada ransomwarea jednostavnim koracima, poput preuzimanja softvera iz pouzdanih izvora i izbjegavati otvaranje privitaka e-pošte iz nepouzdanih izvora.
Ostali načini na koje možete zaštititi sebe i svoju organizaciju od tvrtke Snatch i drugih vrsta ransomwarea uključuju:
- Održavajte ažurirani operativni sustav i nastavite sigurnosno kopirati svoje podatke.
- Obavljajte redovitu reviziju lozinke.
- Uvedite višeslojni, sveobuhvatni sigurnosni softver kako biste zaštitili sve ulazne točke od napada ransomwarea.
- Osiguravanje alata za udaljeni pristup i drugih ranjivih programa jer napadači Snatcha angažiraju druge kriminalce koji imaju iskustvo korištenja web školjki ili mogu probiti na SQL servere putem injekcijskih napada.
- Zaštitite svoje sučelje za udaljenu radnu površinu tako što ćete ih staviti iza VPN-a na vašoj mreži kako bi ljudi pobijedili i im pristupili bez VPN vjerodajnica.
- Pokrenite redovite i temeljite provjere svih uređaja u vašem domu ili organizaciji kako biste osigurali da su zaštićeni i nadzirani jer Snatch koristi takve pristupne točke i uporišta da bi ušao.
- Postavite i koristite multifaktornu provjeru identiteta za sve administratore u vašoj organizaciji kako bi napadači mogli nepotrebno prisiliti vaše vjerodajnice.
- Izvršite potpuno lov na prijetnje na vašoj mreži kako biste identificirali bilo koju takvu aktivnost prije infekcije.
Također na Guiding Tech
Kako postaviti sigurnosnu kopiju sustava Windows da se brani od Ransomwarea
Čitaj višeZaštitite svoj sustav
Otkupna softverska inačica može zvučati gotovo opasno po život u njezinu djelovanju na paraliziranju datoteka i uređaja. Prije nego što razmislite o plaćanju otkupnine, pokušajte s gornjim koracima ukloniti prijetnju i uvijek poduzmite preventivne mjere da se takve i takve prijetnje ne pojave na vašem računalu ili mreži.
Sljedeće: Ako sumnjate da je vaš telefon zaražen ransomware-om, pogledajte naš sljedeći članak kako biste saznali kako to otkriti i ukloniti.